Domainen anmeldung über VPN dauert lange oder geht nicht

[ottifant 10]

Hallo,

 

Brauche eure Hilfe.

Folgende Konfiguration ist gegeben:

 

Hauptsitz

Zywall 2 Plus

SBS 2003

 

Filiale

Zywall 2 Plus

1 Client

 

VPN Steht

 

Problem ist wenn der User sich in der Filiale an der Domaine anmeldet dann bleibt das Bild Benutzereinstellungen werden geladen stehen und das wars dann.

 

Einmal hats funktioniert, leider nur einmal, am nächsten Tag wollte sich der User anmelden, der PC bleibt aber bei " Benutzereinstellungen werden geladen" stehen.

 

Habe beim Server DNS mit DCdiag getestet keine Fehler.

Ich weiss das sollte eigentlich ein DNS Problem sein, nur die User im Hauptsitz können sich ohne Probleme anmelden.

 

Hat jemadn ne Idee, brauche dringen Hilfe.

 

Die Zywall in der Filiale bezieht die DNS vom ISP, sprich der PC erhält vod der Zywall(DHCP) die IP, den Gateway (Zywall) und die DNS (vom ISP)

 

Hat jemadn Rat?

[IThome 10]

Spricht der Client denn auch tatsächlich den DNS-Server des SBS an (sniffen) ? Oder werden grosse servergespeicherte Profile geladen ? Was ist im Tunnel alles zugelassen ? Vielleicht postest Du mal die AUsgabe vo IPCONFIG /ALL des Server und eines Clients im Remote-Netzwerk. Die Zywalls stellen eine LAN-LAN Verbindung her ?

[ottifant 10]

Konfiguration der Zywalls:

 

Hauptsitz (Fixe IP)

kein DHCP (wird vom sbs gemacht)

Lokales Subnetz 192.168.1.0

Remote 0.0.0.0

 

Filiale (Dynamische IP)

DHCP wird von der Zywall gemacht, DNS wird vom ISP geholt

Lokales Netz 192.168.2.0

Remote 192.168.1.0

Im Tunnel ist Netbios erlaubt

 

Clients erhalten DNS, IP und Gateway von der Zywall

IP 192.168.2.xx

DNS vim ISP Beispiel 80.248.98.xx

Gateway 192.168.2.2 (IP der Zywall)

 

Der Tunnel wird ja aufgebaut und steht, sieht so aus als würde er den Server nicht im Subnetz 192.168.1.0 suchen sondern woanders.

 

Filiale

http://www.itech.li/VPN/Filiale.gif

Hauptsitz

http://www.itech.li/VPN/HAuptsitz.gif

[IThome 10]

Ich meinte eigentlich nicht die Konfiguration der ZYwalls, sondern IPCONFIG /ALL des Clients im Remotenetzwerk und des Servers. Welchen DNS-Server haben sie eingetragen, den vom ISP ?

[s.k. 11]

Hallo,

 

Welchen DNS-Server haben sie eingetragen, den vom ISP ?

Ja, schrieb er doch. :wink2: Keine Frage - das ist der Fehler.

 

@ottifant: Konfiguriere die Zywall so, dass der DNS-Server des SBS an den DHCP-Client übergeben wird. Siehe: http://www.zyxeltech.de/previews/zw2plus400xu0/DNS_LAN.html

 

Gruß

Steffen

[IThome 10]

Ich wollte mich nur vergewissern :) Mit dem richtigen DNS-Server wird es dann auch klappen ...

[ottifant 10]

@s.k.: Danke für den Hinweise, kann ich Dir aber erst morgen sagen obs geht, weil die Zywall bleib beim updaten der Firmware hängen, musst eSie über die Serielle Schnittstelle wieder neu setzten.

 

Was ich mit der noch Problem habe ist das ich ab und zu nicht auf sie zugreifen kann weder über Telnet noch sonst, naja Zyxel hat gerade wieder ein neues Firmware rausgebracht vielleicht hilft das..

[ottifant 10]

habs heute noch geschafft, das Problem besteht weiterhin, habe bei der Zywall (Filiale) als DNS den SBS (Zentrale) angegeben, aber der Bildschirm bleibt immer noch bei Benutzereinstellungen werden geladen.

 

Vorher war es ein Server gespeichertes Profil, habe das mal umgeändert das er nun ein lokales hat, leider keine Änderung.

 

Hier mal ipconfig/all vom Server

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : SBSBU

Primäres DNS-Suffix . . . . . . . : domain.local

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : domain.local

 

Ethernet-Adapter LAN-Verbindung des Servers:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet

Physikalische Adresse . . . . . . : 00-12-3F-76-D5-C1

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.1.3

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.1.2

DNS-Server . . . . . . . . . . . : 192.168.1.3

Primärer WINS-Server . . . . . . : 192.168.1.3

 

 

ipconfig/all PC Filiale

 

Windows-IP-Konfiguration

 

Hostname. . . . . . . . . . . . . : WKS02

Primäres DNS-Suffix . . . . . . . :

Knotentyp . . . . . . . . . . . . : Broadcast

IP-Routing aktiviert. . . . . . . : Nein

WINS-Proxy aktiviert. . . . . . . : Nein

 

Ethernetadapter LAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Broadcom NetXtreme 57xx Gigabit Cont

roller

Physikalische Adresse . . . . . . : 00-14-22-DC-0A-20

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

IP-Adresse. . . . . . . . . . . . : 192.168.2.33

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.2.2

DHCP-Server . . . . . . . . . . . : 192.168.2.2

DNS-Server. . . . . . . . . . . . : 192.168.1.3

80.248.192.11

Lease erhalten. . . . . . . . . . : Samstag, 30. Dezember 2006 19:32:49

Lease läuft ab. . . . . . . . . . : Dienstag, 2. Januar 2007 19:32:49

[WSUSPraxis 48]

Was passiert wenn du bei einem Client nslookup auf die Namen und

auf die IP des Servers machst ?

[ottifant 10]

Hab mal im DNS auf dem Server nslookup gemacht das kam raus

 

*** Der Servername für die Adresse 192.168.1.3 konnte nicht gefunden werden: Non

-existent domain

Standardserver: UnKnown

Address: 192.168.1.3

 

beim Client in der Filiale kommt das wenn ich den Namen eingebe

 

*** Der Servername für die Adresse 192.168.1.3 konnte nicht gefunden werden:

Non-existent domain

Standardserver: dns1.adon.li

Address: 80.248.192.11

 

> sbsbu

Server: dns1.adon.li

Address: 80.248.192.11

 

*** sbsbu wurde von dns1.adon.li nicht gefunden: Non-existent domain

 

und bei der IP das

 

> 192.168.1.3

Server: dns1.adon.li

Address: 80.248.192.11

 

*** 192.168.1.3 wurde von dns1.adon.li nicht gefunden: Non-existent domain

[s.k. 11]

ipconfig/all PC Filiale

...

DNS-Server. . . . . . . . . . . . : 192.168.1.3

80.248.192.11

Lease erhalten. . . . . . . . . . : Samstag, 30. Dezember 2006 19:32:49

Lease läuft ab. . . . . . . . . . : Dienstag, 2. Januar 2007 19:32:49

Der Client bekommt neben dem DNS-Server des SBS auch den des Providers zugewiesen. Würde ich nicht machen, sondern nur den SBS-DNS zuweisen!

 

 

beim Client in der Filiale kommt das wenn ich den Namen eingebe

 

*** Der Servername für die Adresse 192.168.1.3 konnte nicht gefunden werden:

Non-existent domain

Standardserver: dns1.adon.li

Address: 80.248.192.11

 

> sbsbu

Server: dns1.adon.li

Address: 80.248.192.11

 

*** sbsbu wurde von dns1.adon.li nicht gefunden: Non-existent domain

Der Client benutzt leider den DNS-Server des Providers. Fragt sich nur weshalb? Weil der interne nicht schnell genug geantwortet hat? Verwendet Windows die DNS-Server vielleicht nicht der Reihe nach? Sind DNS-Anfragen durch den Tunnel überhaupt erlaubt? Seit ZyNOS 4.01 kann man den Tunnel per Firewall beregeln...

 

Probiere mal folgendes am Client:

nslookup
>server 192.168.1.3
>sbsbu

Gruß

Steffen

[IThome 10]

Wenn der primäre DNS-Server nicht reagiert, wird der vom Provider genutzt. Es wird nicht etwa sofort wieder auf den primären DNS-Server umgeschaltet, sondern es wird der sekundäre Server für eine bestimmte Zeit (15 Minuten, gesteuert durch ServerPriorityTimeLimit) weiter benutzt.

[ottifant 10]

was die Zeit beim Anmelden angeht, habe jetzt folgendes Probliert,

bisher ware das Profil Server gespeichert und die Eigenen Dateien waren umgeleitet.

Habe das Profil nun auf Lokal gesetzt und aufeinmal gings, als das Profil noch Servergespeichert war habe ich den Netzwerkstecker gezogen dann kam ja die meldung das ich mit nem lokalen Profil angemeldet werde (Temporär) in der Meldung viel mir auf das er die Eigenen Dateien über das Profil gezogen hat, kann mir einer sagen wieso?

 

Wenn ich die Eigenen Dateien umleite auf eine Freigabe am Server dann werden die doch nicht mehr mit dem Profil gezogen oder liege ich da falsch?

 

@s.k.: kann ich erst morgen wieder testen

[IThome 10]

Werden sie nicht (Du hast das Profil auf lokal gesetzt), allerdings müssen die Dateien schon einmal vollständig übertragen werden (vom Client auf den Server, sofern Dateien lokal vorhanden sind).

User Profiles and Folder Redirection FAQ

Hast Du den ISP-DNS schon rausgenommen ? Was hast Du bezüglich der Erkennung langsamer Verbindungen konfiguriert ? Wird ICMP im Tunnel zugelassen ?

[ottifant 10]

Ja jetzt hae ich es auf Lokal gesetzt, aber wenn ich das Profil Servergespeichert setzte und die Eigenen Dateien auf den Server in eine Freigabe umleite dann werden die Eigenen Dateien ja nicht mit dem Profil gezogen ist doch richtig oder?

ISP-DNS ist raus

Erkennung langsamer Verbindungen habe ich nichts gemacht

ICMP wird zugelassen